Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

¿Qué es la herramienta “AvNeutralizer” vendida por FIN7?

Escrito por Adan Cuevas | Jul 18, 2024 5:15:36 PM

El grupo de piratas informáticos FIN7 ha vuelto a captar la atención de la comunidad de ciberseguridad con un nuevo y alarmante movimiento: la venta de su herramienta AVNeutralizer a otros ciberdelincuentes. Esta poderosa herramienta, diseñada para evadir la detección de programas antivirus, está elevando el nivel de sofisticación y peligro de los ataques cibernéticos en todo el mundo. Con su historial de ataques exitosos a instituciones financieras y empresas, FIN7 ahora amplía su impacto al poner esta tecnología en manos de otros hackers, creando un escenario aún más desafiante para quienes trabajan en la protección de datos y sistemas.

 

Antecedentes sobre Grupo de Hackers FIN7

 

FIN7, identificado como un grupo de hackers de origen ruso, comenzó su actividad criminal enfocándose en el fraude financiero mediante el robo de información de tarjetas de débito y crédito. Con el tiempo, ampliaron sus operaciones hacia el ransomware, colaborando con plataformas como DarkSide y BlackMatter. Además, se sospecha su participación en el ransomware BlackCat, conocido por llevar a cabo una reciente estafa de salida.

Este grupo se distingue por la sofisticación de sus ataques de phishing, el uso de malware personalizado y el desarrollo de herramientas avanzadas. Llegaron al extremo de crear una empresa de seguridad ficticia, Bastion Secure, para contratar a desarrolladores desprevenidos y utilizarlos en sus actividades ilícitas. FIN7 opera bajo múltiples alias, incluidos Sangria Tempest, Carbon Spider y Carbanak Group.

 

Conoce más sobre: Monitoreo Darkweb: Protección Esencial para Empresas

 

FIN7 Comercializa Herramientas para Hackers

 

Desde 2022, FIN7 ha estado comercializando AvNeutralizer, una sofisticada herramienta de malware diseñada para desactivar antivirus y software de detección y respuesta de endpoints (EDR) en sistemas infectados. Inicialmente identificada en ataques de ransomware como BlackBasta, esta herramienta ha sido empleada desde entonces por otras operaciones de ransomware, incluyendo AvosLocker, MedusaLocker, BlackCat, Trigona y LockBit.

AvNeutralizer, desarrollado por el grupo de hackers FIN7, es una herramienta avanzada que utiliza controladores legítimos del sistema para desactivar procesos de seguridad, dejando las defensas de la víctima ineficaces y permitiendo que el malware opere sin ser detectado. Esta herramienta se vende en foros de hackers de habla rusa bajo los alias “goodsoft”, “lefroggy”, “killerAV” y “Stupor”, con precios que oscilan entre $4,000 y $15,000.

AvNeutralizer aprovecha el controlador legítimo SysInternals Process Explorer para finalizar los procesos antivirus y se dirige a productos de varios proveedores, incluyendo Windows Defender, Sophos, Panda, Elastic y Symantec.

 

FIN7 pone a la venta AVNeutralizer en un foro de hackers

 

Te podrá interesar leer:  Acronis Cyber Protect Cloud: Seguridad Avanzada + EDR

 

Detalles Técnicos

 

Las versiones más recientes de AvNeutralizer aprovechan el controlador ProcLaunchMon.sys de Windows para desactivar procesos. Este controlador, ubicado en el directorio de controladores del sistema, combinado con controladores actualizados de Process Explorer, puede causar fallos en los procesos protegidos, resultando en una condición de denegación de servicio.

 

Cadena de ataque

 

  1. Acceso inicial: Los actores de amenazas obtienen acceso a la red objetivo mediante ataques de phishing, dispositivos USB maliciosos o explotando vulnerabilidades en servicios expuestos como el Protocolo de Escritorio Remoto (RDP).

  2. Ejecución de AvNeutralizer: Una vez dentro de la red, los atacantes despliegan AvNeutralizer. La herramienta emplea los controladores explotados para desactivar el software antivirus y EDR.

  3. Bloqueo y terminación de procesos: AvNeutralizer bloquea o termina los procesos de seguridad utilizando controladores legítimos. Al explotar estos controladores, provoca fallos en los procesos protegidos, llevando a una condición de denegación de servicio.

  4. Implementación de carga útil: Con el software de seguridad desactivado, los atacantes pueden desplegar cargas útiles adicionales, como ransomware, sin temor a ser detectados. Esto les permite cifrar archivos, exfiltrar datos o realizar otras actividades maliciosas sin impedimentos.

 

Conoce más sobre:  Protección contra Ransomware con Acronis

 

Conclusión

 

El desarrollo y la venta de herramientas como AVNeutralizer por parte de FIN7 representan una amenaza significativa para la seguridad cibernética a nivel mundial. La capacidad de evadir la detección de antivirus convierte a esta herramienta en un recurso valioso para los ciberdelincuentes y plantea desafíos complejos para la defensa de sistemas informáticos.

Para enfrentar esta amenaza, las organizaciones deben adoptar una postura de seguridad integral que combine tecnología avanzada, políticas robustas y formación continua del personal. Solo a través de un enfoque proactivo y multidimensional se puede mitigar el riesgo y proteger los activos digitales en un entorno cada vez más peligroso.